Automatyzowanie aprowizacji użytkowników i anulowanie obsługi aplikacji przy użyciu Azure Active DirectoryAutomate user provisioning and deprovisioning to applications with Azure Active Directory

W Azure Active Directory (Azure AD) termin aprowizacji aplikacji dotyczy automatycznego tworzenia tożsamości i ról użytkowników w aplikacjach w chmurze (SaaS), do których użytkownicy potrzebują dostępu.In Azure Active Directory (Azure AD), the term app provisioning refers to automatically creating user identities and roles in the cloud (SaaS) applications that users need access to. Oprócz tworzenia tożsamości użytkowników automatyczne Inicjowanie obsługi obejmuje konserwację i usuwanie tożsamości użytkowników jako zmiany stanu lub ról.In addition to creating user identities, automatic provisioning includes the maintenance and removal of user identities as status or roles change. Typowe scenariusze obejmują Inicjowanie obsługi użytkownika usługi Azure AD w aplikacjach takich jak Dropbox, Salesforce, usługi ServiceNowi inne.Common scenarios include provisioning an Azure AD user into applications like Dropbox, Salesforce, ServiceNow, and more.

Diagram omówienia aprowizacji

Ta funkcja umożliwia:This feature lets you:

  • Automatyzowanie aprowizacji: automatyczne tworzenie nowych kont w odpowiednich systemach dla nowych osób po dołączeniu do zespołu lub organizacji.Automate provisioning: Automatically create new accounts in the right systems for new people when they join your team or organization.
  • Automatyzowanie anulowania aprowizacji: Automatycznie Dezaktywuj konta w odpowiednich systemach, gdy ludzie opuszczają zespół lub organizację.Automate deprovisioning: Automatically deactivate accounts in the right systems when people leave the team or organization.
  • Synchronizuj dane między systemami: Upewnij się, że tożsamości w Twoich aplikacjach i systemach są aktualne na podstawie zmian w katalogu lub w systemie zasobów ludzkich.Synchronize data between systems: Ensure that the identities in your apps and systems are kept up to date based on changes in the directory or your human resources system.
  • Grupy udostępniania: Zainicjuj obsługę grup dla aplikacji, które je obsługują.Provision groups: Provision groups to applications that support them.
  • Zarządzanie dostępem: Monitoruj i przeprowadzaj inspekcję, która została zainicjowana w aplikacjach.Govern access: Monitor and audit who has been provisioned into your applications.
  • Bezproblemowo Wdrażaj w scenariuszach brązowych pól: Dopasowuje istniejące tożsamości między systemami i pozwala na łatwą integrację, nawet jeśli użytkownicy znajdują się już w systemie docelowym.Seamlessly deploy in brown field scenarios: Match existing identities between systems and allow for easy integration, even when users already exist in the target system.
  • Użyj zaawansowanego dostosowywania: Korzystaj z dostosowywalnych mapowań atrybutów, które definiują, jakie dane użytkownika powinny być przepływać z systemu źródłowego do systemu docelowego.Use rich customization: Take advantage of customizable attribute mappings that define what user data should flow from the source system to the target system.
  • Otrzymywanie alertów dotyczących zdarzeń krytycznych: Usługa aprowizacji udostępnia alerty dla zdarzeń krytycznych i umożliwia integrację Log Analytics, w której można zdefiniować niestandardowe alerty w celu określenia potrzeb firmy.Get alerts for critical events: The provisioning service provides alerts for critical events, and allows for Log Analytics integration where you can define custom alerts to suite your business needs.

Zalety automatycznej aprowizacjiBenefits of automatic provisioning

Wraz ze wzrostem liczby aplikacji używanych w nowoczesnych organizacjach Administratorzy IT są zależne od zarządzania dostępem w odpowiedniej skali.As the number of applications used in modern organizations continues to grow, IT admins are tasked with access management at scale. Standardy, takie jak Security Assertions Markup Language (SAML) lub Open ID Connect (OIDC), umożliwiają administratorom szybkie konfigurowanie logowania jednokrotnego (SSO), ale dostęp wymaga również, aby użytkownicy mieli do nich możliwość aprowizacji.Standards such as Security Assertions Markup Language (SAML) or Open ID Connect (OIDC) allow admins to quickly set up single sign-on (SSO), but access also requires users to be provisioned into the app. W przypadku wielu administratorów Inicjowanie obsługi administracyjnej oznacza ręczne tworzenie każdego konta użytkownika lub przekazywanie plików CSV w każdym tygodniu, ale te procesy są czasochłonne, kosztowne i podatne na błędy.To many admins, provisioning means manually creating every user account or uploading CSV files each week, but these processes are time-consuming, expensive, and error-prone. Rozwiązania takie jak "JIT" (just-in-Time) zostały wdrożone w celu zautomatyzowania aprowizacji, ale przedsiębiorstwa również wymagają rozwiązania, aby anulować obsługę administracyjną użytkowników, którzy opuszczają organizację lub nie potrzebują już dostępu do niektórych aplikacji na podstawie zmiany roli.Solutions such as SAML just-in-time (JIT) have been adopted to automate provisioning, but enterprises also need a solution to deprovision users when they leave the organization or no longer require access to certain apps based on role change.

Niektóre typowe motywacje dotyczące korzystania z automatycznej aprowizacji obejmują:Some common motivations for using automatic provisioning include:

  • Maksymalizacja wydajności i dokładności procesów aprowizacji.Maximizing the efficiency and accuracy of provisioning processes.
  • Oszczędności związane z hostingiem i utrzymywaniem niestandardowo opracowanych rozwiązań i skryptów aprowizacji.Saving on costs associated with hosting and maintaining custom-developed provisioning solutions and scripts.
  • Zabezpieczanie organizacji przez natychmiastowe usuwanie tożsamości użytkowników z aplikacji Key SaaS, gdy opuszczają one organizację.Securing your organization by instantly removing users' identities from key SaaS apps when they leave the organization.
  • Łatwo Importuj dużą liczbę użytkowników do określonej aplikacji lub systemu SaaS.Easily importing a large number of users into a particular SaaS application or system.
  • Posiadanie jednego zestawu zasad, aby określić, kto jest zainicjowany i kto może logować się do aplikacji.Having a single set of policies to determine who is provisioned and who can sign in to an app.

Inicjowanie obsługi użytkowników w usłudze Azure AD może pomóc rozwiązać te wyzwania.Azure AD user provisioning can help address these challenges. Aby dowiedzieć się więcej o tym, jak klienci korzystają z aprowizacji użytkowników usługi Azure AD, możesz przeczytać analizę przypadku ASOs.To learn more about how customers have been using Azure AD user provisioning, you can read the ASOS case study. Poniższe wideo zawiera omówienie aprowizacji użytkowników w usłudze Azure AD:The video below provides an overview of user provisioning in Azure AD:

Jakie aplikacje i systemy mogą być używane przez automatyczne Inicjowanie obsługi użytkowników w usłudze Azure AD?What applications and systems can I use with Azure AD automatic user provisioning?

Funkcje usługi Azure AD są wstępnie zintegrowane z obsługą wielu popularnych aplikacji SaaS i systemów kadr oraz ogólnego wsparcia dla aplikacji, które implementują określone części standardu standard scim 2,0.Azure AD features pre-integrated support for many popular SaaS apps and human resources systems, and generic support for apps that implement specific parts of the SCIM 2.0 standard.

  • Wstępnie zintegrowane aplikacje (aplikacje w galerii SaaS) .Pre-integrated applications (gallery SaaS apps). Możesz znaleźć wszystkie aplikacje, dla których usługa Azure AD obsługuje wstępnie zintegrowany łącznik aprowizacji na liście samouczków aplikacji na potrzeby aprowizacji użytkowników.You can find all applications for which Azure AD supports a pre-integrated provisioning connector in the list of application tutorials for user provisioning. Wstępnie zintegrowane aplikacje wymienione w galerii zwykle używają interfejsów API zarządzania użytkownikami opartymi na Standard scim 2,0 na potrzeby aprowizacji.The pre-integrated applications listed in the gallery generally use SCIM 2.0-based user management APIs for provisioning.

    Logo usługi Salesforce

    Jeśli chcesz zażądać nowej aplikacji do aprowizacji, możesz poprosić o integrację aplikacji z naszą galerią aplikacji.If you want to request a new application for provisioning, you can request that your application be integrated with our app gallery. W przypadku żądania aprowizacji użytkowników wymagamy, aby aplikacja miała punkt końcowy zgodny z standard scim.For a user provisioning request, we require the application to have a SCIM-compliant endpoint. Zażądaj, aby Dostawca aplikacji był zgodny ze standardem Standard scim, dzięki czemu możemy szybko dodać aplikację do naszej platformy.Please request that the application vendor follow the SCIM standard so we can onboard the app to our platform quickly.

  • Aplikacje obsługujące standard scim 2,0.Applications that support SCIM 2.0. Aby uzyskać informacje na temat ogólnych połączeń aplikacji, które implementują interfejsy API zarządzania użytkownikami opartymi na systemie Standard scim 2,0, zobacz Tworzenie punktu końcowego Standard scim i Konfigurowanie aprowizacji użytkowników.For information on how to generically connect applications that implement SCIM 2.0-based user management APIs, see Build a SCIM endpoint and configure user provisioning.

Co to jest standard scim?What is SCIM?

Aby ułatwić automatyzację aprowizacji i anulowania obsługi, aplikacje uwidaczniają zastrzeżone interfejsy API użytkowników i grup.To help automate provisioning and deprovisioning, apps expose proprietary user and group APIs. Jednak każda osoba, która podjęła próbę zarządzania użytkownikami w więcej niż jednej aplikacji, powiedzie, że każda aplikacja próbuje wykonać te same proste akcje, takie jak tworzenie lub aktualizowanie użytkowników, Dodawanie użytkowników do grup lub cofanie aprowizacji użytkowników.However, anyone who’s tried to manage users in more than one app will tell you that every app tries to perform the same simple actions, such as creating or updating users, adding users to groups, or deprovisioning users. Jednak wszystkie te proste akcje są implementowane tylko nieco inaczej, przy użyciu różnych ścieżek punktów końcowych, różnych metod, aby określić informacje o użytkownikach i innych schematów do reprezentowania poszczególnych elementów informacji.Yet, all these simple actions are implemented just a little bit differently, using different endpoint paths, different methods to specify user information, and a different schema to represent each element of information.

Aby rozwiązać te problemy, Specyfikacja Standard scim zapewnia wspólny schemat użytkownika, aby ułatwić użytkownikom przechodzenie do aplikacji, a także z nich.To address these challenges, the SCIM specification provides a common user schema to help users move into, out of, and around apps. Standard scim staje się de facto standardem do aprowizacji i, w połączeniu z standardami Federacji, takimi jak SAML lub OpenID Connect Connect, zapewnia administratorom kompleksowe rozwiązanie do zarządzania dostępem oparte na standardach.SCIM is becoming the de facto standard for provisioning and, when used in conjunction with federation standards like SAML or OpenID Connect, provides administrators an end-to-end standards-based solution for access management.

Aby uzyskać szczegółowe wskazówki dotyczące korzystania z programu Standard scim do automatyzowania aprowizacji i anulowania obsługi użytkowników i grup w aplikacji, zobacz Tworzenie punktu końcowego Standard scim i Konfigurowanie aprowizacji użytkowników.For detailed guidance on using SCIM to automate the provisioning and deprovisioning of users and groups to an application, see Build a SCIM endpoint and configure user provisioning.

Aprowizowanie automatyczne a ręczneManual vs. automatic provisioning

Aplikacje w galerii usługi Azure AD obsługują jeden z dwóch trybów aprowizacji:Applications in the Azure AD gallery support one of two provisioning modes:

  • Ręczna obsługa administracyjna oznacza, że aplikacja nie ma jeszcze automatycznego łącznika aprowizacji usługi Azure AD.Manual provisioning means there is no automatic Azure AD provisioning connector for the app yet. Konta użytkowników muszą zostać utworzone ręcznie, na przykład przez dodanie użytkowników bezpośrednio do portalu administracyjnego aplikacji lub przekazanie arkusza kalkulacyjnego z informacjami o koncie użytkownika.User accounts must be created manually, for example by adding users directly into the app's administrative portal, or uploading a spreadsheet with user account detail. Zapoznaj się z dokumentacją dostarczoną przez aplikację lub skontaktuj się z deweloperem aplikacji, aby określić, jakie mechanizmy są dostępne.Consult the documentation provided by the app, or contact the app developer to determine what mechanisms are available.

  • Automatyczne oznacza, że dla tej aplikacji opracowano łącznik aprowizacji usługi Azure AD.Automatic means that an Azure AD provisioning connector has been developed for this application. Należy postępować zgodnie z samouczkiem Instalatora specyficznym dla konfigurowania aprowizacji aplikacji.You should follow the setup tutorial specific to setting up provisioning for the application. Samouczki aplikacji można znaleźć na liście samouczków dotyczących integrowania aplikacji SaaS z usługą Azure Active Directory.App tutorials can be found at List of Tutorials on How to Integrate SaaS Apps with Azure Active Directory.

W galerii usługi Azure AD aplikacje obsługujące automatyczną obsługę administracyjną są oznaczone ikoną aprowizacji .In the Azure AD gallery, applications that support automatic provisioning are designated by a Provisioning icon. Przejdź do nowego środowiska w wersji zapoznawczej galerii, aby wyświetlić te ikony (na transparencie w górnej części strony Dodawanie aplikacjiwybierz link, który wskazuje na kliknięcie tutaj, aby wypróbować nową i udoskonaloną galerię aplikacji).Switch to the new gallery preview experience to see these icons (in the banner at the top of the Add an application page, select the link that says Click here to try out the new and improved app gallery).

Ikona aprowizacji w galerii aplikacji

Tryb aprowizacji obsługiwany przez aplikację jest również widoczny na karcie aprowizacji po dodaniu aplikacji do aplikacji dla przedsiębiorstw.The provisioning mode supported by an application is also visible on the Provisioning tab once you've added the application to your Enterprise apps.

Jak mogę skonfigurować automatyczne Inicjowanie obsługi administracyjnej aplikacji?How do I set up automatic provisioning to an application?

W przypadku wstępnie zintegrowanych aplikacji wymienionych w galerii wskazówki krok po kroku są dostępne w celu skonfigurowania automatycznej aprowizacji.For pre-integrated applications listed in the gallery, step-by-step guidance is available for setting up automatic provisioning. Zapoznaj się z listą samouczków dotyczących zintegrowanych aplikacji galerii.See the list of tutorials for integrated gallery apps. Poniższy film wideo pokazuje, jak skonfigurować automatyczne Inicjowanie obsługi administracyjnej użytkowników w usłudze SalesForce.The following video demonstrates how to set up automatic user provisioning for SalesForce.

W przypadku innych aplikacji, które obsługują standard scim 2,0, wykonaj kroki opisane w artykule Tworzenie punktu końcowego Standard scim i Konfigurowanie aprowizacji użytkowników.For other applications that support SCIM 2.0, follow the steps in the article Build a SCIM endpoint and configure user provisioning.